Re: LDAP Authorisation in Apache
Hi Christian,
> mein Apache authentifiziert Benutzer gegen einen MIT Kerberos; die
> Authorisation (Gruppenmitgliedschaft) soll über einen OpenLDAP laufen
> (alles unter Debian Etch mit mitgelieferten Versionen). Nach
> erfolgreicher Authentifizierung schaut der Apache im LDAP nach, ob der
> Benutzer "<uid>@<REALM>" existiert. Im LDAP sind die Benutzer
> allerdings ohne "@<REALM>" angelegt, sodass die Authorisation
> fehlschlägt.
>
> (Zur Verifikation, dass dies das einzige Problem ist, habe ich einen
> Benutzer zusätzlich mit "@<REALM>" Endung angelegt und auch in der
> Gruppe eingetragen. Die Authorisation war diesmal erfolgreich.
> Allerdings würde das Eintragen aller Benutzer mit "@<REALM>" Endung
> sicher zu Problemen an anderen Stellen führen.)
>
> Zur sauberen Lösung des Problems soll entweder Apache die Anfrage
> nach "<uid>" an den LDAP stellen oder LDAP "<uid>@<REALM>" wie "<uid>"
> behandeln. Mit der Option authz-regexp in slapd.conf bin ich nicht
> glücklich geworden.
>
> Könnte mir bitte jemand einen Tipp geben?
Du kannst an die Direktive AuthLDAPUrl an das Ende den Parameter ?uid
hängen. So funktioniert es bei mir. Hier meine Anweisungen:
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
AuthType Basic
AuthLDAPUrl ldap://x.x.x:389/dc=example,dc=com?uid
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
AuthName "Public Directory"
require ldap-group cn=public,ou=unix-groups,dc=example,dc=com
Ingo
Reply to: